// ZERO-SECU · CYBERSECURITY

Kesako21 min de lecture

Bug Bounty : quand les hackers éthiques deviennent les gardiens d’Internet

zero-secu 23 mars 2026
#concept
En bref :Chaque application que vous utilisez au quotidien, réseau social, messagerie, banque en ligne, repose sur des milliers, parfois des millions de lignes de code. Derrière cette architecture complexe se cachent des serveurs, des API, des bases de données et d’innombrables réglages de sécurité. Et dans cette immensité logicielle, des défauts sont inévitables. Certains ne provoquent que des désagréments mineurs. D’autres, en revanche, constituent de véritables vulnérabilités : des failles qui permettent de voler des données personnelles, de prendre le contrôle d’un compte bancaire ou de paralyser un service entier (DOS).

Payer les hackers pour protéger vos données…Pourquoi ?

Le Bug Bounty, littéralement « prime au bug », repose sur une idée simple mais contre-intuitive pour certaine entreprise: inviter publiquement des chercheurs en cybersécurité à traquer des failles et les récompenser financièrement lorsqu’ils les signalent de manière responsable.

Plutôt que d’attendre qu’un attaquant malveillant exploite une brèche, l’organisation externalise une partie de sa chasse aux vulnérabilités. En 2025, la plateforme HackerOne (et ses clients) ont distribué à elles seules 81 millions de dollars en primes sur douze mois, soit une augmentation de 13 % par rapport à l’année précédente. Le marché est en pleine expansion.

Cependant, un programme de Bug Bounty bien conçu ne remplace pas une stratégie de sécurité globale. Il en constitue un levier complémentaire, puissant pour renforcer les défenses, accélérer la détection des failles, à condition de poser des règles et de disposer des ressources nécessaires pour traiter les rapports reçus.

1. Qu’est-ce qu’un programme de Bug Bounty ?

Un programme de Bug Bounty est un dispositif officiel par lequel une organisation (entreprise privée, administration publique ou projet open source), définit un cadre précis pour la recherche de vulnérabilités. Ce cadre repose sur quatre piliers fondamentaux:

Le premier est la définition d’un périmètre (appelé « scope » dans le jargon) : quels sites web, quelles applications mobiles, quelles API, quels environnements de test sont concernés. Tout ce qui sort du périmètre est interdit, ce qui protège à la fois l’entreprise et le chercheur.

Le deuxième pilier est l’ensemble des règles d’engagement : interdiction de lancer des attaques par déni de service (DDoS), obligation de tester uniquement sur ses propres comptes, interdiction d’exfiltrer des données personnelles réelles.

Le troisième est la promesse de récompense, qui peut prendre la forme d’argent, de produits dérivés (« swag »), d’un classement public ou d’une mention dans un « Hall of Fame ».

Enfin, le quatrième pilier est le processus de traitement : triage des rapports, reproduction du bug, développement d’un correctif, puis éventuellement publication coordonnée de la vulnérabilité.

Ce dernier point mérite qu’on s’y attarde. Dans l’écosystème professionnel, on parle de Coordinated Vulnerability Disclosure (CVD), soit « divulgation coordonnée des vulnérabilités ». Le principe est rigoureux : découverte, signalement confidentiel, correction par l’éditeur, puis communication publique au moment opportun, afin d’éviter toute exploitation entre la découverte et le déploiement du correctif.
Des organismes comme la CISA aux États-Unis ou l’ENISA en Europe publient des guides de bonnes pratiques et des modèles de politiques de divulgation pour standardiser ces processus.

2. Des origines à aujourd’hui : l’histoire du Bug Bounty

Le précurseur de 1983

Avant même que le terme « Bug Bounty » n’existe, une entreprise appelée Hunter & Ready avait lancé en 1983 ce que beaucoup considèrent comme la toute première prime à la découverte de bugs. Elle portait sur VRTX (Versatile Real-Time Executive), un système d’exploitation embarqué si fiable qu’il équipait, entre autres, le télescope spatial Hubble. La récompense promise ? Une Volkswagen Beetle un « bug » (« coccinelle » en anglais) en échange de bugs logiciels. L’opération relevait autant du coup marketing que du test de sécurité, mais elle a fourni aux développeurs une liste substantielle de défauts à corriger.

Netscape et la naissance du Bug Bounty moderne (1995)

Icône Netscape Navigator (Wikimedia Commons, domaine public). Le navigateur détenait alors plus de 80 % de parts de marché.

Le 10 octobre 1995, Netscape Communications lance officiellement le premier programme de Bug Bounty « moderne » pour la version beta de Netscape Navigator 2.0. L’initiative est portée par Jarrett Ridlinghafer, ingénieur du support technique, qui forge le terme « Bugs Bounty » et convainc la direction de récompenser les utilisateurs externes plutôt que de les considérer comme des menaces. Les primes allaient jusqu’à 1 000 dollars en espèces, accompagnées de produits dérivés, pour toute faille de sécurité significative. Matt Horner, vice-président marketing de Netscape, expliquait alors que cette approche devait « encourager un examen étendu et ouvert » du navigateur.

L’intuition de Netscape était visionnaire : en pleine guerre des navigateurs, avec des cycles de développement extrêmement rapides, aucune équipe interne ne pouvait prétendre identifier seule toutes les vulnérabilités. Le programme a fonctionné jusqu’à la sortie finale de Navigator 2.0, mais il faudra attendre sept ans avant que d’autres éditeurs ne suivent l’exemple.

La lente maturation (2002-2010)

En 2002, la société de sécurité iDefense (rachetée plus tard par VeriSign) lance le « Vulnerability Contributor Program », premier service d’intermédiation entre chercheurs et éditeurs de logiciels. En 2004, la Fondation Mozilla crée son propre programme de primes pour Firefox, offrant 500 dollars par vulnérabilité critique un programme financé par l’entrepreneur Mark Shuttleworth (futur fondateur de Canonical et touriste spatial) et le distributeur Linux Linspire. Ce programme existe encore aujourd’hui et couvre l’ensemble des produits Mozilla. En 2005, TippingPoint lance la Zero Day Initiative (ZDI), un programme toujours actif, désormais géré par Trend Micro, qui met en relation la communauté de sécurité avec les éditeurs concernés.

Puis vient l’accélération. En 2010, Google lance son « Vulnerability Reward Program » (VRP), suivi par Facebook en 2011. L’implication de ces géants technologiques confère au Bug Bounty une légitimité nouvelle et attire des milliers de chercheurs dans l’écosystème.

L’industrialisation par les plateformes (2012-2020)

L’année 2012 marque un tournant avec la création quasi simultanée de deux plateformes qui vont industrialiser le modèle : HackerOne, fondée par des vétérans de la sécurité dont Jobert Abma et Michiel Prins, et Bugcrowd, fondée en Australie par Casey Ellis. Ces plateformes apportent ce qui manquait aux programmes artisanaux : gestion centralisée des périmètres, triage professionnel des rapports, systèmes de paiement automatisés, tableaux de bord analytiques et, surtout, une communauté structurée de chercheurs vérifiés et classés par réputation.

En mars 2016, le Département de la Défense américain franchit un pas historique avec « Hack the Pentagon », le premier programme de Bug Bounty fédéral. Plus de 1 400 participants s’inscrivent ; 250 d’entre eux soumettent au moins un rapport de vulnérabilité, et 138 failles légitimes et uniques sont identifiées pour un total de 75 000 dollars de primes. Le secrétaire à la Défense Ash Carter qualifie l’opération de succès majeur, et le Pentagone enchaîne avec « Hack the Army », « Hack the Air Force » et un programme permanent de divulgation des vulnérabilités.

L’explosion du marché (2020-aujourd’hui date de publication)

Le marché du Bug Bounty n’a cessé de croître. Selon le 9e rapport annuel de HackerOne (publié en octobre 2025), la plateforme gère désormais plus de 1 950 programmes actifs, et les primes distribuées sur la période juillet 2024 à juin 2025 atteignent 81 millions de dollars. Les 100 programmes les plus importants ont concentré 51 millions de dollars à eux seuls. Du côté des chercheurs, les 100 meilleurs ont cumulé 31,8 millions de dollars de gains, et nombreux sont ceux qui dépassent désormais les six chiffres de revenus annuels. HackerOne estime que chaque dollar investi en primes a permis d’éviter 15 dollars de pertes potentielles liées à des incidents de sécurité, soit un retour sur investissement de 15x et environ 3 milliards de dollars de dommages évités.

3. Le parcours d’un hacker éthique : de la découverte à la prime

Portrait : Santiago Lopez, premier millionnaire du Bug Bounty

 

Pour comprendre ce qu’est la vie d’un chasseur de bugs, l’histoire de Santiago Lopez est éclairante. Originaire de Buenos Aires, Lopez découvre le hacking à 16 ans après avoir vu le film Hackers (1995) comme beaucoup moi compris😎. Entièrement autodidacte, il apprend en regardant des tutoriels gratuits sur YouTube et en dévorant des blogs spécialisés. En 2015, il s’inscrit sur HackerOne sous le pseudonyme @try_to_hack , un nom qu’il choisit pour se motiver, quel que soit le résultat.

Sa première prime ? 50 dollars, pour une vulnérabilité de type CSRF (Cross-Site Request Forgery). Loin de se décourager par la modestie de ce montant, Lopez intensifie ses efforts. Il consacre six à sept heures par jour à la recherche de failles et développe une stratégie originale : plutôt que de viser les vulnérabilités critiques (très disputées et chronophages), il se concentre sur des failles de sévérité moyenne qu’il identifie rapidement et en grand nombre. Sa plus grosse prime individuelle s’élève à 9 000 dollars, pour une vulnérabilité SSRF (Server-Side Request Forgery) dans un programme privé.

En mars 2019, à 19 ans, Lopez franchit le cap du million de dollars de gains cumulés sur HackerOne, devenant le premier hacker à atteindre ce jalon. Il a alors signalé plus de 1 600 failles à des entreprises comme Twitter, Verizon Media, Automattic (éditeur de WordPress) et même au gouvernement américain. Cinq mois plus tard, cinq autres chercheurs Mark Litchfield (Royaume-Uni), Frans Rosén (Suède), Nathaniel Wakelam (Australie), Ron Chan (Hong Kong) et Tommy DeVoss (États-Unis) rejoignent le « club des millionnaires ». Leur répartition géographique illustre une réalité essentielle : le Bug Bounty est un ascenseur social mondial. Lopez gagnait alors quarante fois le salaire moyen d’un ingénieur logiciel à Buenos Aires.

Le cycle complet d’une chasse aux bugs

Prenons un exemple plus ordinaire. Léa, 19 ans, étudiante passionnée d’informatique, découvre un programme de Bug Bounty public ciblant l’API api.exemple.com. Les règles précisent : tests autorisés sur ses propres comptes uniquement, interdiction de DDoS, interdiction d’exfiltrer des données personnelles. Léa commence par cartographier les fonctionnalités exposées c’est la phase de reconnaissance. Elle identifie ensuite un souci : en modifiant un simple paramètre numérique dans l’URL d’une requête API, elle accède aux données d’un autre utilisateur. Il s’agit d’un cas classique d’IDOR (Insecure Direct Object Reference), l’une des vulnérabilités les plus fréquemment remontées sur les plateformes de Bug Bounty.

Plutôt que d’exploiter la faille, Léa rédige une preuve de concept minimale : elle documente les étapes de reproduction, évalue l’impact (accès non autorisé à des données personnelles), propose des recommandations de correction, et soumet le tout via la plateforme. L’équipe de sécurité du programme trie le rapport, confirme la vulnérabilité, déploie un correctif, puis verse la prime à Léa. Son pseudonyme apparaît dans le « Hall of Fame » du programme (bon je m’enflamme, elle ne sera pas de suite dans le HOF 😊).

Schéma du cycle Bug Bounty

Découverte d’une faille → Rapport + preuve → Triage + validation → Correctif + prime

Schéma original : cycle typique d’un programme de Bug Bounty, de la découverte initiale à la récompense.

4. Anatomie des vulnérabilités : ce que les chasseurs de bugs découvrent

Les types de failles identifiées varient selon le périmètre du programme, mais certaines catégories reviennent avec une régularité frappante. Le rapport 2025 de HackerOne révèle que les vulnérabilités liées au contrôle d’accès IDOR (Insecure Direct Object Reference) et contrôles d’accès défaillants sont en nette augmentation, tandis que les vulnérabilités « classiques » comme le XSS et l’injection SQL amorcent un déclin relatif, ce qui est une normalité à mesure que les systèmes se sécurisent et modernisent.

⚠️ Il faut bien comprendre mes propos, ces vulnérabilités sont en déclin, mais nullement complètement éliminées.

Parmi les catégories les plus fréquemment remontées, on trouve donc

Les failles d’accès (IDOR, permissions mal configurées), où un simple changement d’identifiant dans une URL permet de consulter les données d’un autre utilisateur.Les injections (SQL, commandes système, templates) exploitent des entrées non filtrées pour détourner le comportement d’un serveur.

Le Cross-Site Scripting (XSS) permet d’injecter du code JavaScript qui s’exécute dans le navigateur d’autres utilisateurs.

Le Cross-Site Request Forgery (CSRF) force un utilisateur authentifié à effectuer une action à son insu.

Les failles de logique métier permettent de contourner des règles fonctionnelles utilisation illimitée d’un code promotionnel, validation de remboursements frauduleux, etc.

Enfin, les chaînes d’attaque combinent plusieurs failles mineures pour produire un impact critique.

Les programmes sérieux classent et rémunèrent les vulnérabilités selon leur impact, en s’appuyant généralement sur des référentiels comme le CVSS (Common Vulnerability Scoring System) ou des grilles internes calibrées sur le risque métier.

L’émergence de l’intelligence artificielle a également ouvert un nouveau front. En 2025, plus de 1 121 programmes sur HackerOne incluaient explicitement l’IA dans leur périmètre une augmentation de 270 % en un an. Les vulnérabilités liées au prompt injection (manipulation des instructions données à un modèle de langage) ont bondi de 540 %, faisant de cette catégorie la menace à la croissance la plus rapide dans l’écosystème.

5. L’argent du Bug Bounty : mythes et réalités

Des gains réels, mais très concentrés

Oui, on peut gagner de l’argent et parfois beaucoup grâce au Bug Bounty. L’histoire de Santiago Lopez en témoigne. Cependant, la réalité est plus nuancée que les gros titres ne le laissent paraître. Le revenu annuel moyen par programme actif sur HackerOne s’établit autour de 42 000 dollars, ce qui signifie que la majorité des programmes distribuent des sommes relativement modestes. Les gains se concentrent fortement au sommet : les dix plus gros programmes représentent à eux seuls 21,6 millions de dollars sur les 81 millions distribués.

Les grilles de primes des géants technologiques

Les éditeurs majeurs publient des barèmes qui reflètent la valeur qu’ils accordent à la sécurité de leurs produits. Apple affiche des catégories officielles pouvant atteindre 1 million de dollars pour les vulnérabilités les plus critiques (exécution de code à distance avec contournement complet du sandbox, par exemple), et communique régulièrement sur l’évolution de son programme. Microsoft, dans son bilan annuel 2025, a annoncé avoir distribué 17 millions de dollars de primes sur la période, couvrant ses services cloud, ses applications et ses serveurs. Google, pionnier avec son VRP lancé en 2010, a élargi son programme pour inclure les vulnérabilités liées à l’intelligence artificielle.

Un point de vigilance s’impose : les montants maximaux annoncés fluctuent régulièrement. Les barèmes évoluent en fonction des produits, des périodes, et de bonus spécifiques (programmes beta, chaînes d’exploitation complètes, etc.). Le réflexe à adopter consiste à consulter la page officielle du programme au moment de la soumission, plutôt que de se fier à des articles datés.

6. Pourquoi les entreprises y gagnent (quand le programme est bien conçu)

Un programme de Bug Bounty n’est pas simplement un chéquier tendu à des hackers. Lorsqu’il est correctement structuré, il offre plusieurs avantages stratégiques.

Il permet d’élargir considérablement la surface de test. Là où un audit de sécurité classique mobilise une poignée de consultants pendant quelques semaines, un programme de Bug Bounty expose les systèmes à des milliers de regards, avec des profils, des méthodologies et des spécialisations extrêmement variés. Il offre des tests en conditions réelles : les chercheurs empruntent des chemins inattendus, testent des combinaisons de fonctionnalités que les audits standardisés ne couvrent pas. Il accélère la détection : une faille signalée tôt coûte infiniment moins cher qu’un incident de sécurité exploité sans compter les dommages réputationnels. Enfin, il crée un canal officiel de communication avec la communauté de sécurité, évitant les situations inconfortables où un chercheur divulgue publiquement une faille faute d’interlocuteur.

L’estimation de HackerOne 15 dollars de pertes évitées pour chaque dollar de prime versé illustre la rentabilité potentielle du modèle. Des agences gouvernementales ont d’ailleurs formalisé cette approche en publiant des modèles de « Vulnerability Disclosure Policy » (politique de divulgation des vulnérabilités), preuve que le sujet dépasse largement le secteur privé.

7. L’ombre du Bug Bounty : bruit, faux rapports et « AI slop »

Le Bug Bounty a aussi son revers. La promesse de récompenses financières attire inévitablement des comportements opportunistes, et les équipes de triage font face à plusieurs plaies récurrentes : le spam (rapports vides, duplicatas, copier-coller d’alertes de scanners automatiques), les « non-vulns » (problèmes de configuration sans impact réel, faux positifs) et, phénomène plus récent, les rapports générés par intelligence artificielle qui saturent les files de triage.

Le cas cURL : quand l’IA noie les mainteneurs

L’affaire cURL illustre parfaitement ce dernier phénomène. Daniel Stenberg, créateur et développeur principal de cURL l’outil en ligne de commande utilisé par des milliards d’appareils pour transférer des données via URL, s’est retrouvé confronté à une avalanche de rapports de sécurité de mauvaise qualité. Dès début 2024, il alerte la communauté sur la multiplication de soumissions qui semblent techniques et crédibles à première lecture, mais se révèlent être des « confabulations » de modèles de langage : un jargon technique impressionnant, des références à des fonctions et des chemins de code spécifiques, des scénarios d’attaque plausibles… mais rien de concret à la vérification.

En mai 2025, Stenberg instaure une politique de bannissement immédiat pour quiconque soumet du « AI slop ». La mesure se révèle insuffisante. En juillet 2025, le volume de soumissions atteint huit fois le rythme normal. Au cours des 21 premiers jours de janvier 2026, vingt rapports parviennent au projet dont sept en l’espace de seize heures. Après analyse, aucun ne décrit une vulnérabilité exploitable. Stenberg fait ses calculs : chaque faux rapport mobilise un développeur pendant un temps significatif, au détriment des véritables correctifs de sécurité et du développement de nouvelles fonctionnalités. Pour une équipe restreinte de bénévoles, le modèle n’est plus soutenable.

Le 31 janvier 2026, le programme de Bug Bounty de cURL ferme définitivement ses portes sur HackerOne. Stenberg précise que les signalements de vulnérabilités restent bienvenus via GitHub Security Advisories, mais sans aucune contrepartie financière. Il résume la situation dans un message sans détour : les mainteneurs ont « besoin de mesures pour assurer leur survie et préserver leur santé mentale ».

cURL n’est pas un cas isolé. Django a mis à jour sa documentation de sécurité pour rejeter explicitement les rapports générés par IA contenant des fabrications. Node.js a imposé un score minimum de réputation sur HackerOne. Le mainteneur de libxml2 a cessé de traiter les rapports de vulnérabilité sous embargo, invoquant le fardeau insoutenable du triage bénévole.

La morale de tout cela est que : sans un système de triage robuste, sans règles rigoureuses et sans une équipe capable de corriger les failles en temps utile, un programme de Bug Bounty peut se transformer en gouffre de ressources.

8. Bug Bounty et divulgation responsable : deux concepts distincts

Une distinction fondamentale mérite d’être soulignée : signaler une vulnérabilité et percevoir une prime sont deux démarches indépendantes. La divulgation coordonnée des vulnérabilités (CVD) constitue un cadre bien plus large que le Bug Bounty. Elle vise à synchroniser l’ensemble des acteurs le découvreur, l’éditeur du logiciel, parfois un CERT (Computer Emergency Response Team) national pour minimiser le risque d’exploitation avant la publication du correctif.

Des organismes de référence encadrent cette pratique. La CISA (Cybersecurity and Infrastructure Security Agency) aux États-Unis publie un modèle de politique de divulgation et gère son propre programme de coordination. L’ENISA (Agence européenne pour la cybersécurité) a publié en 2022 un rapport détaillé sur les politiques de CVD dans l’Union européenne. En France, le CERT-FR, opéré par l’ANSSI (Agence nationale de la sécurité des systèmes d’information), assure la coordination du traitement des vulnérabilités signalées sur le territoire national.

Comme l’illustre le cas de cURL, fermer un programme de Bug Bounty ne signifie pas cesser d’accepter les signalements de vulnérabilités. Le canal de divulgation responsable peut survivre à la suppression de la récompense financière même si, mécaniquement, le volume de soumissions tend à diminuer.

9. Débuter dans le Bug Bounty : une méthode progressive

Si la chasse aux bugs vous intéresse, la tentation de brûler les étapes est grande. Or, les meilleurs chercheurs recommandent tous une approche méthodique.

La première phase consiste à maîtriser les fondamentaux : fonctionnement du protocole HTTP, gestion des cookies et des sessions, mécanismes d’authentification, principes des API REST. Le référentiel OWASP Top 10, qui recense les dix catégories de risques de sécurité les plus critiques pour les applications web, constitue une base incontournable.

Vient ensuite l’entraînement en environnement légal. Des plateformes comme Hack The Box, TryHackMe, PortSwigger Web Security Academy ou encore les compétitions CTF (Capture The Flag) offrent des terrains de jeu conçus pour l’apprentissage, avec des applications volontairement vulnérables. HackerOne propose également Hacker101, une collection gratuite de vidéos et d’exercices pratiques.

Troisième étape : étudier des rapports publiés. Les plateformes comme HackerOne (section « Hacktivity ») permettent de lire des rapports de vulnérabilité rendus publics avec l’accord de l’entreprise. C’est un raccourci précieux pour comprendre ce qui fait un bon rapport : étapes de reproduction précises, évaluation d’impact, recommandations de correction.

Enfin, quand vous vous sentez prêt, choisissez un programme public à périmètre large, respectez scrupuleusement les règles, et documentez vos trouvailles avec rigueur : captures d’écran minimales, journaux utiles, preuve de concept sans dégâts collatéraux.

Le facteur qui distingue les bons chercheurs des excellents ? La qualité des rapports. Un rapport bien structuré bug reproductible, impact démontré, recommandation de correction accélère le traitement, aide l’équipe de sécurité, et augmente significativement les chances d’être rémunéré. Santiago Lopez le résumait ainsi : son succès reposait moins sur des trouvailles spectaculaires que sur un volume élevé de rapports clairs et exploitables.

Conclusion : un contrat social en constante évolution

Le Bug Bounty repose sur un pacte de confiance : le chercheur accepte de signaler les failles de manière responsable ; l’organisation s’engage à écouter, à corriger, à reconnaître le travail fourni et, souvent, à rémunérer. Depuis la Volkswagen Beetle promise par Hunter & Ready en 1983 et les premiers 1 000 dollars versés par Netscape en 1995, ce modèle s’est imposé comme un outil crédible dans l’arsenal de la cybersécurité, adopté aussi bien par les startups que par le Pentagone.

L’écosystème est cependant loin d’être figé. L’irruption de l’intelligence artificielle transforme à la fois les méthodes des chercheurs les « hackers bioniques » qui utilisent l’IA comme outil de reconnaissance et de rédaction, et les risques auxquels font face les programmes, l’avalanche de rapports automatisés de mauvaise qualité qui a poussé des projets comme cURL à fermer leur programme de primes. L’apparition de nouvelles surfaces d’attaque liées à l’IA (prompt injection, fuite de données via agents autonomes) redessine par ailleurs les périmètres des programmes.

Dans un monde où les systèmes informatiques gagnent en complexité chaque jour, le Bug Bounty demeure une façon pragmatique de transformer la curiosité des hackers éthiques en sécurité mesurable. À condition de ne jamais oublier qu’il ne s’agit pas d’un substitut à une stratégie de sécurité globale, mais d’un complément avec ses règles, son éthique et le travail de correction qui doit impérativement suivre.

C’était Zérosécu, et comme je dis toujours, la cybersécurité est moins cher que gratuit.

J’apporte la plus grande attention et le plus grand soin à chaque article, mais si toutefois, si vous repérez une erreur, faites-moi signe !

Note sur les droits d’auteur (images) :Les visuels intégrés proviennent de Wikimedia Commons: MesserWoland , Wikimedia Commons et sont utilisés à des fins d’illustration et d’analyse conformément au droit de citation.

Sources et références : Wikipedia: Bug bounty program , HackerOne: 9th Annual Hacker-Powered Security Report (2025) , BleepingComputer: HackerOne paid $81 million in bug bounties , PortSwigger / The Daily Swig: Interview Santiago Lopez , Bugcrowd (février 2026): How lazy hacking killed cURL’s bug bounty , CISA : Vulnerability Disclosure Policy Template , ENISA: Good Practice Guide on Vulnerability Disclosure , CERT-FR / ANSSI: Missions et coordination des vulnérabilités